A Wallon a múlt pénteken jelent meg, kedden azonban jelentősen megnőtt az aktivitása, mert olyan e-mailek is megjelentek, amelyek maguk nem tartalmaztak fertőzött mellékletet, csupán egy megtévesztő Yahoo címet (http://drs.yahoo.com), ahol a gyanútlan felhasználó maga töltheti gépére a férget.
A Wallonnak saját SMTP motorja van, és a megfertőzött gépben tárolt állományokból kimazsolázza az e-mail címeket, ahová továbbküldi magát. A féreg egy rég betömeszelt Internet Explorer biztonsági rést használ ki, az ún. „objektum adat sebezhetőséget”. A frissítetlen Windows gépeken a vírus először kicserél egy ártó szoftverre a Windows Media Playert, amely letölti a Wallon fő állományát, és kicseréli az Internet Explorer honlapját a vírus írója által ellenőrzött weboldalra.
A begyűjtött e-mail címekre nemcsak továbbküldi magát, hanem e címeket egy e-mail címre is elküldi, hogy a kéretlen reklámlevelek küldői felhasználhassák őket.
